get_queried_object(); $id = $cu->ID; ?>
Tobias Judin

Ikke mulig å omgå personvernreglene

Tenk deg at virksomheter bestemte selv hvilke personopplysninger de kunne behandle. La oss for eksempel si at de digitale tjenestene du bruker hver dag, plutselig skrev inn i vilkårene sine at de vil spore deg overalt alltid, og så måtte du bare finne deg i det. Høres det rettferdig ut?

Noen virksomheter har faktisk tatt til orde for at loven skal tolkes slik.

Kreativt fremstøt

Det er ikke fritt frem å behandle personopplysninger i EØS. Personvernforordningen (GDPR) inneholder en uttømmende liste over når behandling av personopplysninger er lov. Man kan for eksempel behandle personopplysninger hvis man har personens samtykke, hvis man har en rettslig plikt til å behandle opplysningene eller dersom det er nødvendig for å gjennomføre en avtale med personen.

For eksempel, la oss si at du handler i en nettbutikk, skal betale med kredittkort og ønsker å få varene levert hjem. Her er det ikke mulig å gjennomføre kjøpsavtalen med mindre tjenesten behandler betalingsinformasjon og hjemadressen din. Behandlingen av opplysningene er dermed nødvendig for å gjennomføre avtalen, og nettbutikken kan lovlig samle dem inn med dette som formål.

Flere multinasjonale teknologiselskaper har varslet at de har en videre forståelse av hva som er «nødvendig for å gjennomføre en avtale». Disse virksomhetene mener at dersom de har skrevet om behandling av personopplysninger i tjenestevilkårene (avtalene) sine, er behandlingen automatisk nødvendig for avtalen og dermed tillatt, selv om det de skriver inn i vilkårene ikke er strengt talt nødvendig for å levere tjenesten du har etterspurt. Det betyr i praksis at de ikke trenger å bekymre seg om hva du ønsker eller gi deg valgmuligheter.

Det er vanskelig å påvirke innholdet i tjenestevilkårene. Videre er forbrukere ofte så avhengig av tjenestene til teknologiselskapene at man ukritisk aksepterer brukervilkårene. Resultatet kan bli at forbrukerne står igjen maktesløse.

Personvernrådet setter ned foten

Personvernrådet (EDPB) har nå vedtatt retningslinjer om hva som er «nødvendig for å gjennomføre en avtale» i kontekst av digitale tjenester. Ikke overraskende deler ikke Personvernrådet teknologiselskapenes lovtolkning. Tvert om slår rådet fast flere viktige ting:

  • Man kan ikke skrive inn hva som helst i brukervilkår og så blindt bruke «nødvendig for å gjennomføre en avtale» som rettslig grunnlag for behandling av personopplysninger.
  • Det er forskjell mellom hva som er objektivt nødvendig for å levere tjenesten du har etterspurt, og aktiviteter virksomheten ønsker å utføre fordi de er nyttige eller lønnsomme.
  • Virksomheter må behandle personopplysninger på en rettferdig måte som gjør personopplysningsvernet reellt.
  • Personopplysninger er ikke en salgsvare.

Disse punktene er et uttrykk for at personvernreglene er ment å gi et høyt beskyttelsesnivå. Reglene sier at alle skal få større kontroll over opplysningene sine, og da må virksomhetene respektere det, og ikke prøve å lage smutthull.

For øvrig inntok Artikkel 29-gruppen, Personvernrådets forløper, samme standpunkt etter de gamle personvernreglene.

På høring

Retningslinjene er på høring i seks uker. Det vil si at alle har mulighet til å si sin mening. Les mer om retningslinjene og høringen her.

Catharina Nes

«Alexa – hører du meg nå?»

Mange inviterer nå talestyrte assistenter fra verdens mektigste selskap inn i hjemmet. Men de smarte assistentene kommer også med en kostnad. (Artikkelen sto opprinnelig på trykk i Dagens Næringsliv 5. oktober 2018). Talestyrte assistenter er et av de raskest voksende...

les mer
Bjørn Erik Thon

Personvernåret 2018

Dette innlegget er basert på et foredrag jeg holdt på Norsk Informasjonssikkerhetsforum (ISF) høstkonferanse 29. august, og er derfor skrevet i lett muntlig stil. Jeg vil gå gjennom de viktigste personvernhenvendelsene det siste året, og hva vi kan lære av dem, og...

les mer
Catharina Nes

Snart kan sjefen «se» alt du gjør

Ny teknologi gjør det mulig å effektivisere arbeidsprosesser, men samtidig også å overvåke ansatte på nye og mer invaderende måter. (Artikkelen sto opprinnelig på trykk i Dagens Næringsliv 10. august 2018) For et par år siden gikk journalisten James Bloodworth...

les mer
Tobias Judin

Ingen frihet uten personvern

De nye personvernreglene trår i kraft i dag. Du kommer kanskje ikke til å merke dem til vanlig, men du hadde merket det hvis de ikke var der. [Denne teksten sto på trykk i VG 20. juli 2018.] I dag feirer vi at personvernet styrkes. Denne styrkingen er nødvendig i en...

les mer
Bjørn Erik Thon

En personvernguide til Arendalsuka

Den nye personopplysningsloven trer i kraft 20. juli 2018. Mange norske virksomheter har gjort en formidabel jobb med å tilpasse seg det nye regelverket, men det er først nå, når reglene trer i kraft, vi vil se om forberedelsene har vært gode nok. Ikke minst er det...

les mer
Eirin Oda Lauvset

Jeg vil vite om noen vil sette meg i bås…

…og få et valg om å slippe det! «Hvorfor i all verden får jeg tilsendt helt andre tilbud fra nærbutikken enn naboen?!» Disse ordene falt i en telefonsamtale mellom meg og min far for et år tilbake da min far (76) hadde oppdaget at nærbutikken brukte opplysninger om...

les mer
Knut Kaspersen

Personvernlovgivningen er 40 år

Lørdag 9. juni er det 40 år siden personregisterloven ble vedtatt i Stortinget. Bakgrunnen for at denne loven kom, var at utviklingen av «databanker» i det offentlige skapte bekymring. Man så en utstrakt registering av enkeltmenneskers og gruppers adferd. I en...

les mer

Arkiv

Følg oss:

Ønsker du å motta e-post når nye innlegg postes på Personvernbloggen, kan du registrere din e-postadresse her.

E-postadressen blir lagret på vår server og kun brukt til dette formålet. Om du velger å slutte å følge oss, vil e-postadressen bli slettet fra vår server. Du samtykker til denne bruken av din e-postadresse ved å registrere den her.